screenos-體系結(jié)構(gòu)

1、第1章ScreenOS體系結(jié)構(gòu)JuniperwksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計(jì)提供了靈活性。在具有兩個(gè)以上接口的Juniperwks安全設(shè)備上，可以創(chuàng)建多個(gè)安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流?？蔀槊總€(gè)區(qū)段綁定一個(gè)或多個(gè)接口，并在每個(gè)區(qū)段上啟用不同的管理和防火墻選項(xiàng)。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)、分配每個(gè)區(qū)段所需的接口數(shù)，并且可以根據(jù)自己的需要來(lái)設(shè)計(jì)每個(gè)接口。本章對(duì)ScreenOS進(jìn)行了

2、簡(jiǎn)要介紹。本章包括以下部分:?第2頁(yè)上的“安全區(qū)段”?第3頁(yè)上的“安全區(qū)段接口”?第4頁(yè)上的“虛擬路由器”?第5頁(yè)上的“策略”?第7頁(yè)上的“虛擬專(zhuān)用網(wǎng)”?第9頁(yè)上的“虛擬系統(tǒng)”?第10頁(yè)上的“封包流序列”?第12頁(yè)上的“巨型幀”本章結(jié)束時(shí)給出了一個(gè)由四部分組成的范例，它例舉了使用ScreenOS的安全設(shè)備的基本配置:?第13頁(yè)上的“范例:(第1部分)具有六個(gè)區(qū)段的企業(yè)”?第15頁(yè)上的“范例:(第2部分)六個(gè)區(qū)段的接口”?第17頁(yè)上的“范

3、例:(第3部分)兩個(gè)路由選擇域”?第19頁(yè)上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個(gè)或多個(gè)網(wǎng)段組成的集合，需要通過(guò)策略來(lái)對(duì)入站和出站信息流進(jìn)行調(diào)整(請(qǐng)參閱第5頁(yè)上的“策略”)。安全區(qū)段是綁定了一個(gè)或多個(gè)接口的邏輯實(shí)體。通過(guò)多種類(lèi)型的Juniperwks安全設(shè)備，您可以定義多個(gè)安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來(lái)確定。除用戶(hù)定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段:Trust、Untr

4、ust和DMZ(用于第3層操作)，或者V1Trust、V1Untrust和V1DMZ(用于第2層操作)。如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶(hù)定義的區(qū)段。另外，您還可以同時(shí)使用這兩種區(qū)段預(yù)定義和用戶(hù)定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計(jì)。請(qǐng)參閱圖2。圖2顯示了配置有五個(gè)安全區(qū)段的網(wǎng)絡(luò)三個(gè)缺省區(qū)段(Trust、Untrust、DMZ)和兩個(gè)用戶(hù)定義的區(qū)段(Financ

5、e、Eng)。信息流只有在策略允許時(shí)才能由一個(gè)安全區(qū)段傳遞到另一區(qū)段。圖2:預(yù)定義安全區(qū)段注意:無(wú)需任何網(wǎng)段的安全區(qū)段是全域區(qū)段。(有關(guān)詳細(xì)信息，請(qǐng)參閱第26頁(yè)上的“Global區(qū)段”。)另外，任何區(qū)段，如果既沒(méi)有綁定到它的接口也沒(méi)有通訊簿條目，則也可以說(shuō)它不包含任何網(wǎng)段。如果是從ScreenOS的早期版本進(jìn)行升級(jí)，則這些區(qū)段的所有配置將保持不變。注意:802.1Q是一個(gè)IEEE標(biāo)準(zhǔn)，它定義了實(shí)現(xiàn)虛擬橋接LAN的機(jī)制以及用來(lái)通過(guò)VLAN

6、標(biāo)記指示VLAN從屬關(guān)系的以太網(wǎng)幀格式。概念與范例ScreenOS參考指南4?虛擬路由器虛擬路由器虛擬路由器(VR)的功能與路由器相同。它擁有自己的接口及自己的單播和組播路由表。在ScreenOS中，安全設(shè)備支持兩個(gè)預(yù)定義的虛擬路由器，這將允許安全設(shè)備維護(hù)兩個(gè)單獨(dú)的單播和組播路由表，同時(shí)隱藏虛擬路由器彼此之間的路由信息。例如，untrustvr通常用來(lái)與不可信方進(jìn)行通信，并且不含有保護(hù)區(qū)段的任何路由信息。保護(hù)區(qū)段的路由信息由trustv

7、r進(jìn)行維護(hù)。因此，通過(guò)從untrustvr中秘密提取路由的方式，收集不到任何內(nèi)部網(wǎng)絡(luò)信息，請(qǐng)參閱圖3。圖3:虛擬路由器安全區(qū)段安全設(shè)備上存在兩個(gè)虛擬路由器時(shí)，不能在駐留于不同VR中的區(qū)段之間自動(dòng)轉(zhuǎn)發(fā)信息流，即使存在允許信息流的策略。如果希望信息流在虛擬路由器之間傳遞，則需要導(dǎo)出VR之間的路由或在將另一個(gè)VR定義為下一跳躍的VR中配置靜態(tài)路由。有關(guān)使用兩個(gè)虛擬路由器的詳細(xì)信息，請(qǐng)參閱第7卷:路由。trustvr路由選擇域FinanceTr

8、ustEngDMZUntrustuntrustvr路由選擇域注意:堡壘圖標(biāo)代表安全區(qū)段的接口。路由轉(zhuǎn)發(fā)策略?5第1章:ScreenOS體系結(jié)構(gòu)策略Juniperwks安全設(shè)備用于保護(hù)網(wǎng)絡(luò)的安全，具體做法是先檢查要求從一個(gè)安全區(qū)段到另一區(qū)段的通路的所有連接嘗試，然后予以允許或拒絕。在缺省情況下，安全設(shè)備拒絕所有方向的所有信息流。通過(guò)創(chuàng)建策略，定義允許在預(yù)定時(shí)間通過(guò)指定源地點(diǎn)到達(dá)指定目的地點(diǎn)的信息流的種類(lèi)，您可以控制區(qū)段間的信息流。范圍最大

9、時(shí)，可以允許所有類(lèi)型的信息流從一個(gè)區(qū)段中的任何源地點(diǎn)到其它所有區(qū)段中的任何目的地點(diǎn)，而且沒(méi)有任何預(yù)定時(shí)間限制。范圍最小時(shí)，可以創(chuàng)建一個(gè)策略，只允許一種信息流在預(yù)定的時(shí)間段內(nèi)、在一個(gè)區(qū)段中的指定主機(jī)與另一區(qū)段中的指定主機(jī)之間流動(dòng)，請(qǐng)參閱圖4。圖4:缺省策略每次當(dāng)封包嘗試從一個(gè)區(qū)段向另一區(qū)段或在綁定到同一區(qū)段的兩個(gè)接口間傳遞時(shí)，安全設(shè)備會(huì)檢查其策略組列表中是否有允許這種信息流的策略(請(qǐng)參閱第148頁(yè)上的“策略組列表”)。要使信息流可以從一個(gè)